Spis treści
Co to NIS2?
NIS2 to ogólnounijne przepisy, których celem jest większy nacisk na wymagania dotyczące cyberbezpieczeństwa, takie jak zapewnienie bezpieczeństwa łańcucha dostaw, wytyczne obowiązków informacyjnych oraz mechanizmy kontroli i nadzoru.
W dobie wzrastających zagrożeń takich jak phishing (podszywanie się pod zaufane osoby lub instytucje w celu wyłudzenia poufnych informacji) czy ransomware (blokowanie dostępu do komputera lub danych i żądanie okupu za ich odblokowanie) nowa regulacja podkreśla, że cyberbezpieczeństwo to nie luksus, ale konieczność, która zapewnia stabilność zarówno na poziomie biznesowym, jak i indywidualnym.
Co zmienia dyrektywa NIS2?
Dyrektywa NIS2, będąca następcą dyrektywy NIS przyjętej w 2016 roku, ma na celu zapewnienie wyższego poziomu ochrony danych w przedsiębiorstwach działających na obszarze UE. Oto najważniejsze zmiany rozporządzenia NIS2:
- Obejmuje nowe sektory, w tym m.in.: administrację publiczną, gospodarkę zarządzania odpadami oraz przestrzeń kosmiczną.
- Znowelizowany dokument nakłada na podmioty nowe obowiązki, w tym wdrożenie narzędzi do zarządzania ryzykiem, zabezpieczenie łańcuchów dostaw czy opracowanie Planu Ciągłości Działania.
- Ponadto, organizacje będą musiały raportować incydenty związane z cyberbezpieczeństwem w ściśle określonym czasie, co umożliwi szybsze reagowanie i minimalizowanie skutków ataków. Jednostki mają 24 godziny na przesłanie wczesnego ostrzeżenia oraz 72 godziny na zgłoszenie incydentu.
- Teraz podmioty objęte dyrektywą są klasyfikowane na podstawie ich znaczenia dla gospodarki i dzielone na kategorie kluczowe i ważne, o czym poniżej.
Kogo NIS2 będzie dotyczyć?
Nowa dyrektywa znacząco rozszerza zakres sektorów objętych regulacjami. Co więcej, nowe przepisy wprowadzają kryteria wielkościowe, które określają, jakie podmioty muszą raportować istotne incydenty cyberbezpieczeństwa do krajowych organów nadzorczych. Oznacza to, że dyrektywa eliminuje wcześniejsze różnice między operatorami usług kluczowych a dostawcami usług cyfrowych, w konsekwencji klasyfikując je teraz na podstawie ich znaczenia dla gospodarki. W związku z tymi zmianami, wyróżniamy dwie kategorie podmiotów: jednostki kluczowe, a także jednostki ważne, które podlegają różnym reżimom nadzoru.
Dyrektywa NIS2 rozszerza zakres z pierwotnych 7 sektorów objętych dyrektywą NIS, dodając 8 kolejnych, co podsumowując, daje łącznie 15 sektorów. Wśród nowych dziedzin objętych regulacjami NIS2 znajdują się sektory takie jak:
- Przemysł spożywczy
Rozporządzenie obejmuje wszystkie przedsiębiorstwa związane z produkcją, przetwarzaniem, dystrybucją i sprzedażą żywności.
- Przemysł motoryzacyjny
Regulacje obejmują zarówno producentów, jak i dostawców części, mając na celu zabezpieczenie łańcucha dostaw i systemów produkcji przed cyberatakami.
- Produkcja chemikaliów
Firmy zajmujące się produkcją i dystrybucją chemikaliów, w tym chemikaliów przemysłowych, pestycydów i innych materiałów chemicznych.
- Dostawcy usług cyfrowych
NIS2 obejmie dostawców usług internetowych, a także usług w chmurze oraz centra danych.
- Przestrzeń kosmiczna
Firmy, które zajmują się satelitami, infrastrukturą naziemną, telekomunikacją kosmiczną, nawigacją satelitarną, obserwacją Ziemi, badaniami oraz dostawami usług i technologii kosmicznych.
- Gospodarka odpadami
Obejmuje przedsiębiorstwa zajmujące się zbieraniem, transportem, przetwarzaniem i utylizacją odpadów.
- Administracja publiczna
Dotyczy systemów informacyjnych i sieci wykorzystywanych w gminach, powiatach i innych jednostkach samorządu terytorialnego.
- Zarządzanie usługami ICT
Obejmuje zarządzane usługi IT i usługi bezpieczeństwa IT dostarczane przez zewnętrznych dostawców.
Podmioty kluczowe
Podmioty kluczowe to te, których zakłócenie działalności może mieć poważne konsekwencje dla społeczeństwa. Wśród nich możemy wyróżnić sektory takie jak:
1. Energetyka:
- Elektroenergetyka
- Ogrzewanie i chłodzenie miejskie
- Ropa naftowa
- Gaz
2. Transport:
- Lotnictwo
- Koleje
- Transport wodny (morski i śródlądowy)
- Transport drogowy
3. Bankowość:
- Infrastruktura rynków finansowych
4. Zdrowie:
- Szpitale
- Produkcja farmaceutyków, w tym szczepionek
- Woda pitna
- Zarządzanie ściekami
5. Infrastruktura cyfrowa:
- Punkty wymiany internetowego ruchu
- Dostawcy usług DNS
- Dostawcy usług chmurowych
- Dostawcy usług centrów danych
- Sieci dostarczania treści
- Dostawcy usług zaufania
- Dostawcy publicznych sieci komunikacji elektronicznej i publicznie dostępnych usług komunikacji elektronicznej
6. Zarządzanie usługami ICT:
- Dostawcy usług
7. Administracja publiczna
- Jednostki samorządu terytorialnego (powiatowe, gminne)
8. Przestrzeń kosmiczna
- Dostawcy oprogramowania
- Operatorzy infrastruktury krytycznej
- Producenci sprzętu kosmicznego
Podmioty ważne
Podmioty ważne to sektory, które również spełniają kryteria dyrektywy Parlamentu Europejskiego. Obejmują one usługi takie jak:
- Poczta i usługi kurierskie
- Zarządzanie ściekami i odpadami
- Produkcja i dystrybucja chemikaliów
- Produkcja i dystrybucja żywności
- Producenci sprzętu i oprogramowania
- Systemy IT organów administracji państwowej i samorządowej
Obie kategorie muszą stosować te same środki bezpieczeństwa z tą różnicą, iż podmioty kluczowe podlegają bardziej aktywnemu nadzorowi, podczas gdy instytucje ważne są monitorowane głównie po zgłoszeniu incydentu.
Kompetencje organów nadzorczych w zakresie kontroli środków zarządzania ryzykiem
Dyrektywa NIS2 przyznaje organom nadzorczym znaczne uprawnienia w zakresie monitorowania i wymuszania przestrzegania przepisów. Wśród ich kompetencji znajdują się:
- Przeprowadzanie audytów bezpieczeństwa,
- Żądanie dostępu do niezbędnych informacji, danych i dokumentacji od podmiotów podlegających regulacjom,
- Wydawanie poleceń zapewniających zgodność działań podmiotów z dyrektywą NIS2.
W przypadku, gdy podmioty kluczowe nie spełniają wymogów dyrektywy, organy nadzorcze mogą wprowadzić surowe środki, takie jak tymczasowe zawieszenie ich certyfikatów czy zawieszenie działalności organizacji.
Sprawdź, czy podlegasz pod UKSC (NIS2)
Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!
Kiedy zacznie obowiązywać NIS2?
Zakres obowiązków wynikających z NIS2 zostanie w Polsce jednoznacznie określony dopiero po przyjęciu nowej ustawy o krajowym systemie cyberbezpieczeństwa. Projekt przepisów jest nadal w toku, a jego ostateczna treść może jeszcze ulec zmianom. Z tego względu warto regularnie monitorować komunikaty publikowane przez Ministerstwo Cyfryzacji, Rządowe Centrum Bezpieczeństwa oraz zespoły CSIRT, które na bieżąco informują o postępach prac.
Wstępna kwalifikacja uzyskana poprzez nasz formularz pozwala przygotować się na nadchodzące obowiązki, jednak pełny zakres wymagań będzie znany dopiero po zakończeniu procesu legislacyjnego. Co istotne, po wejściu w życie ustawy przedsiębiorcy będą mieli ograniczony czas na dostosowanie się do nowych wymogów.
Tym bardziej warto rozpocząć przygotowania wcześniej, aby uniknąć presji czasu i możliwych ryzyk operacyjnych.
Kary za brak wdrożenia NIS2 w organizacji
Dyrektywa NIS2 nakłada na państwa członkowskie UE obowiązek egzekwowania surowych sankcji za nieprzestrzeganie jej przepisów. Kara finansowa może sięgnąć nawet do 10 mln euro lub 2% rocznego światowego obrotu dla podmiotów kluczowych i do 7 mln euro, lub 1,4% rocznego obrotu dla podmiotów ważnych.
Państwa członkowskie mogą również, na przykład, nakładać okresowe kary pieniężne, które mają na celu zmusić organizacje do przestrzegania standardów zgodnie z wcześniejszymi decyzjami właściwych organów. Co więcej, surowe grzywny mają na celu zapewnienie, że organizacje będą przestrzegać nowych przepisów cyberbezpieczeństwa, tym samym minimalizując ryzyko i skutki potencjalnych incydentów.
Jak SEDIVIO może pomóc Twojej organizacji w spełnieniu wymogów NIS2?
W SEDIVIO pomagamy organizacjom przejść przez cały proces wdrożenia wymagań wynikających z projektu ustawy o krajowym systemie cyberbezpieczeństwa – od kwalifikacji, przez audyt, aż po przygotowanie dokumentacji, procesów i zabezpieczeń technicznych.
Wspieramy nie tylko zgodność z przepisami, ale również realne podnoszenie poziomu cyberbezpieczeństwa. Korzystamy z narzędzi, które umożliwiają monitorowanie podatności, zarządzanie incydentami, weryfikację ryzyka i poprawę odporności operacyjnej na co dzień, dzięki czemu wdrożenie UKSC jest trwałe i praktyczne
